Creación de grupos de seguridad de red en Azure Local

En este artículo se explica cómo crear y configurar grupos de seguridad de red (NSG) para administrar el flujo de tráfico de datos después de habilitar la controladora de red en Azure Local.

Acerca de los NSGs en las máquinas virtuales de Azure

Use un grupo de seguridad de red para administrar el tráfico de red entre redes lógicas o máquinas virtuales en Azure Local. Configure un grupo de seguridad de red con reglas de seguridad que permitan o denieguen el tráfico de red entrante o saliente. Las reglas de seguridad de red controlan el tráfico en función de:

• Direcciones IP de origen y destino.
• Números de puerto.
• Protocolos (TCP/UDP).
• Dirección (entrante o saliente).

Este es un diagrama que muestra cómo se conectan los grupos de seguridad de red a redes lógicas e interfaces de red de vm en Azure Local:

El diagrama muestra una configuración de red con dos redes lógicas:

• Red lógica A

  • Subred: 192.168.1.0/24, VLAN 206
  • Tiene web de máquina virtual en 192.168.1.3.
  • La regla NSG permite el acceso saliente a Internet.
  • La Web de VM puede acceder a Internet.

• Red lógica B

  • Subred: 192.168.2.0/24, VLAN 310
  • Tiene VM SQL en 192.168.2.3.
  • La regla de NSG bloquea el acceso saliente a Internet.
  • VM SQL ejecuta SQL Server localmente sin estar expuesto a Internet.

En este ejemplo, el grupo de seguridad de red controla el flujo de tráfico entre las redes lógicas A y B, y entre vm Web y VM SQL. Puede aplicar la NSG a cada red lógica o interfaz de red para aplicar reglas de seguridad específicas. Por ejemplo, la red lógica B podría permitir solo el tráfico a través del puerto SQL 1433 desde la red lógica A.

Nota:

• Las únicas máquinas virtuales que caen bajo el ámbito del uso de grupos de seguridad de red con esta característica son las máquinas virtuales locales de Azure. Estas son máquinas virtuales que se implementaron desde interfaces de cliente de Azure (CLI de Azure, Azure Portal, Azure Resource Manager). No use una máquina virtual local de Azure junto con un NSG administrado y aplicado desde herramientas locales.

Prerrequisitos

Azure CLI

• Tiene acceso a una instancia local de Azure.

  • Esta instancia debe ejecutar la versión 2506 con la versión del sistema operativo 26100.xxxx o posterior.
  • Esta instancia tiene una ubicación personalizada.
  • Tiene acceso a una suscripción de Azure con el rol de control de acceso basado en rol (RBAC) de administrador de Azure Stack HCI. Este rol concede acceso total a la instancia local de Azure y sus recursos. Para más información, consulte Asignación de roles RBAC locales de Azure.
  • Esta instancia tiene habilitada la característica SDN. Para más información, consulte Habilitación de redes definidas por software (SDN) en Azure Local.
  • Tiene al menos una red lógica estática y una interfaz de red estática en esta instancia. Para obtener más información, consulte Creación de redes lógicas y Creación de interfaces de red.
  • Si usa un cliente para conectarse a Azure Local, asegúrese de instalar la CLI de Azure más reciente y la az-stack-hci-vm extensión. Para más información, consulte Requisitos previos de administración de máquinas virtuales locales de Azure.

Azure Portal

• Tiene acceso a una instancia local de Azure.

  • Esta instancia debe ejecutar la versión 2506 con la versión del sistema operativo 26100.xxxx o posterior.
  • Esta instancia tiene una ubicación personalizada.
  • Tiene acceso a una suscripción de Azure con el rol de control de acceso basado en rol (RBAC) de administrador de Azure Stack HCI. Este rol concede acceso total a la instancia local de Azure y sus recursos. Para más información, consulte Asignación de roles RBAC locales de Azure.
  • Esta instancia tiene habilitada la característica SDN. Para más información, consulte Habilitación de redes definidas por software (SDN) en Azure Local.

Creación de grupos de seguridad de red y reglas de seguridad de red

Azure CLI

Inicio de sesión y establecimiento de la suscripción

1. Conéctese a una máquina en la instancia local de Azure.

2. Inicie sesión y escriba el siguiente comando:

   az login --use-device-code
   

3. Establezca la suscripción.

   az account set --subscription <Subscription ID>
   

Creación de un grupo de seguridad de red (NSG)

Cree un grupo de seguridad de red (NSG) para administrar el flujo de tráfico de datos en Azure Local. Puede crear una NSG por sí misma o asociarla a una interfaz de red o a una red lógica.

Advertencia

Los NSG deben tener al menos una regla de seguridad de red. Un NSG vacío deniega todo el tráfico entrante de forma predeterminada. No se puede acceder a una máquina virtual o una red lógica asociada a este NSG.

1. Establezca los parámetros siguientes en la sesión de la CLI de Azure.

   $resource_group="examplerg"      
   $nsgname="examplensg"     
   $customLocationId="/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl" 
   $location="eastus"
   

   Los parámetros para la creación de grupos de seguridad de red se tabulan de la siguiente manera:

   Parámetros	Descripción
   nombre	Nombre del grupo de seguridad de red que cree. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
   ubicación	Región Azure para asociar con su grupo de seguridad de red. Por ejemplo, esto podría ser eastus, westeurope. Para facilitar la administración, se recomienda usar la misma ubicación que la instancia local de Azure.
   grupo de recursos	Nombre del grupo de recursos donde se crea el grupo de seguridad de red. Para facilitar la administración, se recomienda usar el mismo grupo de recursos que azure local.
   suscripción	Nombre o identificador de la suscripción donde se implementa Azure Local.
   ubicación personalizada	Ubicación personalizada asociada a Azure Local.

2. Ejecute el comando siguiente para crear un grupo de seguridad de red (NSG) en la instancia local de Azure.

   az stack-hci-vm network nsg create -g $resource_group --name $nsgname --custom-location $customLocationId --location $location  
   

3. El comando crea un grupo de seguridad de red (NSG) con el nombre especificado y lo asocia a la ubicación personalizada especificada.

   Expanda para ver una salida de ejemplo.

   { 
     "eTag": null, 
     "extendedLocation": { 
   
       "name": "/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl", 
       "type": "CustomLocation" 
   
     }, 
   
     "id": "/subscriptions/<Subscription ID>/resourceGroups/examplerg/providers/Microsoft.AzureStackHCI/networkSecurityGroups/examplensg", 
   
     "location": "eastus", 
     "name": "examplensg", 
     "properties": { 
       "networkInterfaces": [], 
       "provisioningState": "Succeeded", 
       "subnets": [] 
     }, 
   
     "resourceGroup": "examplerg", 
     "systemData": { 
       "createdAt": "2025-03-11T22:56:05.968402+00:00", 
       "createdBy": "gus@contoso.com", 
       "createdByType": "User", 
       "lastModifiedAt": "2025-03-11T22:56:13.438321+00:00", 
       "lastModifiedBy": "<User ID>", 
       "lastModifiedByType": "Application" 
     }, 
   
     "tags": null, 
     "type": "microsoft.azurestackhci/networksecuritygroups" 
   } 
   

Sugerencia

Use az stack-hci-vm network nsg create -h para obtener ayuda con la CLI.

Creación de una regla de seguridad de red

Después de crear un grupo de seguridad de red, cree reglas de seguridad de red. Para aplicar reglas al tráfico entrante y saliente, cree dos reglas.

Creación de una regla de seguridad de entrada

1. Establezca los parámetros siguientes en la sesión de la CLI de Azure.

   $resource_group="examplerg"      
   $nsgname="examplensg"     
   $customLocationId="/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl" 
   $location="eastus"
   $securityrulename="examplensr" 
   $sportrange="*" 
   $saddprefix="10.0.0.0/24" 
   $dportrange="80" 
   $daddprefix="192.168.99.0/24" 
   $description="Inbound security rule" 
   

   Los parámetros para la creación de grupos de seguridad de red se tabulan de la siguiente manera:

   Parámetros	Descripción
   nombre	Nombre de la regla de seguridad de red que se crea para Azure Local. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
   nsg-name	Nombre del grupo de seguridad de red que contiene esta regla de seguridad de red. Asegúrese de proporcionar un nombre que siga las reglas de los recursos de Azure.
   ubicación	Regiones de Azure especificadas por az locations. Por ejemplo, esto podría ser eastus, westeurope. Si no se especifica la ubicación, se usa la ubicación del grupo de recursos.
   grupo de recursos	Nombre del grupo de recursos donde se crea el grupo de seguridad de red. Para facilitar la administración, se recomienda usar el mismo grupo de recursos que azure local.
   suscripción	Nombre o identificador de la suscripción donde se implementa Azure Local. Podría ser otra suscripción que use para las máquinas virtuales locales de Azure.
   ubicación personalizada	Úselo para proporcionar la ubicación personalizada asociada a Azure Local donde va a crear este grupo de seguridad de red.
   direction	La dirección de la regla especifica si la regla se aplica al tráfico entrante o saliente. Los valores permitidos son salientes o entrantes (valor predeterminado).
   intervalos de puertos de origen	Especifique el intervalo de puertos de origen 0 y 65535 para que coincida con un paquete entrante o saliente. El valor predeterminado * especificará todos los puertos de origen.
   prefijos de dirección de origen	Especifique los intervalos IP de CIDR o de destino. El valor predeterminado es *.
   prefijos-de-dirección-de-destino	Especifique los intervalos IP de CIDR o de destino. El valor predeterminado es *.
   intervalos de puertos de destino	Escriba un puerto específico o un intervalo de puertos que esta regla permita o deniega. Escriba un asterisco (*) para permitir el tráfico en cualquier puerto.
   protocol	Protocolo para que coincida con un paquete entrante o saliente. Los valores aceptables son * (valor predeterminado), All, TCP y UDP.
   access	Si coinciden las condiciones anteriores, especifique para permitir o bloquear el paquete. Los valores aceptables son Allow y Deny con el valor predeterminado Permitir.
   priority	Especifique una prioridad única para cada regla de la colección. Los valores aceptables son de 100 a 4096. Un valor inferior representa una prioridad más alta.
   descripción	Descripción opcional de esta regla de seguridad de red. La descripción es un máximo de 140 caracteres.

2. Ejecute el comando siguiente para crear una regla de seguridad de red de entrada en la instancia local de Azure. Esta regla bloquea todo el tráfico ICMP entrante a máquinas virtuales locales de Azure (excepto los puertos de administración que desea habilitar) y permite todo el acceso saliente.

   az stack-hci-vm network nsg rule create -g $resource_group --nsg-name $nsgname --name $securityrulename --priority 400 --custom-location $customLocationId --access "Deny" --direction "Inbound" --location $location --protocol "*" --source-port-ranges $sportrange --source-address-prefixes $saddprefix --destination-port-ranges $dportrange --destination-address-prefixes $daddprefix --description $description  
   

3. El comando crea una regla de seguridad de red y la asocia al grupo de seguridad de red especificado.  
   
   

   Expanda esta sección para ver una salida de ejemplo.

   { 
     "extendedLocation": { 
       "name": "/subscriptions/<Subscription ID>/resourcegroups/examplerg/providers/microsoft.extendedlocation/customlocations/examplecl", 
       "type": "CustomLocation" 
     }, 
   
     "id": "/subscriptions/<Subscription ID>/resourceGroups/examplerg/providers/Microsoft.AzureStackHCI/networkSecurityGroups/examplensg/securityRules/examplensr", 
     "name": "examplensr", 
     "properties": { 
       "access": "Deny", 
       "description": "Inbound security rule", 
       "destinationAddressPrefixes": [ 
         "192.168.99.0/24" 
       ], 
   
       "destinationPortRanges": [ 
         "80" 
       ], 
   
       "direction": "Inbound", 
       "priority": 400, 
       "protocol": "Icmp", 
       "provisioningState": "Succeeded", 
       "sourceAddressPrefixes": [ 
         "10.0.0.0/24" 
       ], 
   
       "sourcePortRanges": [ 
         "*" 
       ] 
   
     }, 
   
     "resourceGroup": "examplerg", 
     "systemData": { 
       "createdAt": "2025-03-11T23:25:37.369940+00:00", 
       "createdBy": "gus@contoso.com", 
       "createdByType": "User", 
       "lastModifiedAt": "2025-03-11T23:25:37.369940+00:00", 
       "lastModifiedBy": "gus@contoso.com", 
       "lastModifiedByType": "User" 
     }, 
   
     "type": "microsoft.azurestackhci/networksecuritygroups/securityrules" 
   } 
   
   

Sugerencia

Use az stack-hci-vm network nsg rule create -h para obtener ayuda con la CLI de Azure.

Crea una regla de seguridad de salida

Ejecute el comando siguiente para crear una regla de seguridad de red saliente que bloquee todo el tráfico de red.

az stack-hci-vm network nsg rule create -g $resource_group --nsg-name $nsgname --name $securityrulename --priority 500 --custom-location $customLocationId --access "Deny" --direction "Outbound" --location $location --protocol "*" --source-port-ranges $sportrange --source-address-prefixes $saddprefix --destination-port-ranges $dportrange --destination-address-prefixes $daddprefix --description $description

Azure Portal

Crear un grupo de seguridad de red

Siga estos pasos en Azure Portal para crear un grupo de seguridad de red.

1. Vaya a la página de recursos locales de Azure > Recursos > Grupos de seguridad de red. Verá una lista de grupos de seguridad de red en Azure Local.

   

2. En el panel derecho, seleccione + Crear grupo de seguridad de red en la barra de comandos superior.

   

3. En la pestaña Aspectos básicos , escriba la siguiente información:

   

   1. Suscripción - elija la suscripción que desea usar para el NSG.
   2. Grupo de recursos : cree nuevo o elija un grupo de recursos existente donde implemente todos los recursos asociados a la máquina virtual local de Azure.
   3. Nombre de instancia : escriba un nombre para el grupo de seguridad de red que desea crear.
   4. Región : elija la región de Azure donde se implementa la instancia local de Azure. La región debe ser la misma que la región de la instancia local de Azure.
   5. Ubicación personalizada: seleccione la ubicación personalizada asociada a la instancia local de Azure.
   6. Selecciona Revisar + crear.

4. En la pestaña Revisar y crear , siga estos pasos:

   1. Revise la configuración.
   2. Selecciona Crear.

   

5. Se inicia un trabajo. Cuando finalice el trabajo, verá una notificación. Seleccione Ir al recurso. En el Grupo de recursos, se ve el NSG.

   

6. Vaya a Recursos de clúster local de Azure > Grupos de seguridad de red > Recursos. El nuevo NSG aparece en la lista de grupos de seguridad de red en tu entorno de Azure.

   

Creación de una regla de seguridad de red

Use el mismo procedimiento para las reglas de seguridad entrantes y salientes. La única diferencia es la dirección de la regla.

Siga estos pasos en Azure Portal para Azure Local:

1. Vaya a la página de recursos locales de Azure > Recursos > Grupos de seguridad de red.

   

2. En el panel derecho, seleccione un grupo de seguridad de red en la lista.

   

3. Vaya a Configuración de reglas > de seguridad de entrada para las reglas de entrada o Reglas de seguridad de salida para las reglas de salida. En el panel derecho, seleccione + Crear en la barra de comandos superior.

   

4. En la página Agregar regla de seguridad de entrada , escriba la siguiente información:

   

   1. Origen : elija entre la dirección IP o cualquiera. El origen especifica el tráfico entrante de un intervalo de direcciones IP específico permitido o denegado por esta regla.
   2. Direcciones IP de origen/intervalos CIDR : proporcione un intervalo de direcciones mediante la notación CIDR (por ejemplo, 192.168.99.0/24) o una dirección IP (por ejemplo, 192.168.99.0) si elige dirección IP como origen.
   3. Intervalos de puertos de origen : proporcione un puerto específico o un intervalo de puertos que esta regla denegará o permitirá. Proporcione un asterisco* para permitir el tráfico en cualquier puerto.
   4. Destino : elija entre dirección IP o Cualquiera. El destino especifica el tráfico saliente a un intervalo de direcciones IP específico que esta regla permitirá o denegará.
   5. Direcciones IP de destino/intervalos CIDR : proporcione un intervalo de direcciones mediante la notación CIDR (por ejemplo, 192.168.99.0/24) o una dirección IP (por ejemplo, 192.168.99.0) si elige dirección IP como destino.
   6. Intervalos de puertos de destino : proporcione un puerto específico o un intervalo de puertos que esta regla denegará o permitirá. Proporcione un asterisco* para permitir el tráfico en cualquier puerto.
   7. Protocolo : elija un protocolo de Any, TCP, UDP o ICMP. El protocolo especifica el tipo de tráfico que esta regla permite o deniega.
   8. Acción : elija entre Permitir o Denegar. La acción especifica si esta regla permite o deniega el tráfico coincidente.
   9. Prioridad : escriba un número entre 100 y 4096. La prioridad especifica el orden en el que se aplican las reglas. Los números inferiores se procesan primero.
   10. Nombre : escriba un nombre para la regla. El nombre debe ser único en el grupo de seguridad de red.
   11. Descripción : escriba una descripción para la regla. La descripción es opcional.

5. Selecciona Agregar.

6. Actualice la lista. Aparece la nueva regla de seguridad de red.

   

Creación de una directiva de acceso de red predeterminada

Cree una directiva de acceso de red predeterminada para bloquear todo el tráfico entrante a máquinas virtuales locales de Azure (excepto los puertos de administración que desea habilitar) y permitir todo el acceso saliente. Use estas directivas para asegurarse de que las máquinas virtuales solo tienen acceso a los recursos necesarios, lo que ayuda a evitar que las amenazas se propaguen lateralmente.

Puede asociar una directiva de acceso de red predeterminada a la máquina virtual local de Azure de dos maneras:

• Durante la creación de la máquina virtual. Debe conectar la máquina virtual a una red lógica. Para obtener más información, consulte Crear una red lógica.
• Después de la creación de la máquina virtual.

Aplicación de la directiva de acceso de red predeterminada al crear una máquina virtual

Al crear una máquina virtual, cree una interfaz de red y adjunte una directiva de acceso de red predeterminada a ella.

Para más información, consulte Creación de una máquina virtual local de Azure mediante Azure Portal. En este procedimiento, cuando llegue a la pestaña Redes , siga estos pasos para agregar una directiva de acceso de red predeterminada:

1. En la pestaña Redes, seleccione + Agregar interfaz de red.

   

2. En la página Agregar interfaz de red , escriba la siguiente información:

   

   1. Nombre : escriba un nombre para la interfaz de red.
   2. Red : seleccione una red lógica en la lista de redes lógicas disponibles en la instancia local de Azure.
   3. Tipo IPv4: seleccione Estático o Dinámico. Si selecciona Estático, escriba una dirección IP estática para la máquina virtual. Si selecciona Dinámico, el sistema asigna una dirección IP aleatoria desde la subred.
   4. Método de asignación: seleccione Automático o Manual. Si selecciona Automático, el sistema asigna una dirección IP aleatoria desde la subred. Si selecciona Manual, escriba una dirección IP estática para la máquina virtual.
   5. Grupo de seguridad de red NIC : elija una de las siguientes opciones:
      1. Ninguno : seleccione esta opción si no desea aplicar ninguna directiva de acceso de red en la máquina virtual. Al seleccionar esta opción, todos los puertos de la máquina virtual se exponen a redes externas, lo que supone un riesgo de seguridad. No se recomienda esta opción.
      2. Básico : seleccione esta opción para especificar una directiva de acceso de red predeterminada. Las directivas predeterminadas bloquean todo el acceso entrante y permiten todo el acceso saliente. Puede habilitar el acceso entrante a uno o varios puertos bien definidos, como HTTP, HTTPS, SSH o RDP según sea necesario.
      3. Avanzado: seleccione esta opción para especificar un grupo de seguridad de red.
   6. Selecciona Agregar.

3. Continúe con el resto del proceso de creación de máquinas virtuales.

Importante

La directiva de acceso de red predeterminada solo está disponible para la primera interfaz de red de la máquina virtual. Si agrega una segunda interfaz de red, no puede asociar la directiva de acceso de red predeterminada a ella.

Aplicación de la directiva de acceso de red predeterminada a una máquina virtual existente

Puede aplicar una directiva de acceso de red predeterminada a una máquina virtual existente.

Pasos siguientes

• Administración de grupos de seguridad de red en Azure Local